网络安全专家警告“Black Basta”勒索软件的新威胁
source link: https://netsecurity.51cto.com/article/712524.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
网络安全专家警告“Black Basta”勒索软件的新威胁-51CTO.COM
BLACK BASTA 勒索软件攻击分析
6 月初,据报道Black Basta 勒索软件团伙与QBot 恶意软件行动合作传播他们的勒索软件。当然,这并不是勒索软件团伙第一次与 QBot 合作,将其用作主要分销商。
勒索软件领域的许多“大玩家”之前都做过,包括MegaCortex、ProLock、DoppelPaymer、Conti和Egregor。这些合作伙伴关系在过去已经证明了自己,而 Black Basta 很可能是为了追随大玩家的领先一步,也决定这样做。
QBot 的使用为勒索软件运营商节省了时间。QBot 具有许多对攻击者非常有用的内置功能。其中一些用于执行侦察、收集数据和凭据、横向移动以及下载和执行有效载荷。
在获取凭据并了解网络架构后,攻击者以域控制器为目标,并使用 PsExec 横向移动。一旦成功入侵,攻击者就会“做好准备”并执行旨在避免检测和预防的最终程序。
攻击者在受感染的 DC 上创建组策略对象 (GPO) 以禁用 Windows Defender 并尝试关闭任何防病毒产品。有趣的是,过去在QBot-Egregor 攻击中也观察到了这种技术。
攻击的最后阶段是将勒索软件部署到目标端点。为此,攻击者使用编码的 PowerShell 命令,该命令利用 WMI 将勒索软件二进制文件推送到攻击早期创建的文件C:\Windows\pc_list.txt中包含的 IP 地址。
BLACK BASTA 勒索软件
Black Basta 勒索软件是攻击的最终有效载荷。与大多数勒索软件一样,它的设计目的是加密机器上的文件,并向用户留下勒索字条。
执行后,勒索软件会使用vssadmin.exe删除系统的虚拟卷影副本, vssadmin.exe是一种管理卷影复制服务 (VSS) 的命令行工具,它捕获并复制稳定的映像以在运行的系统上进行备份。
勒索软件通常使用vssadmin.exe在加密文件之前删除文件的卷影副本和其他备份。这是另一种确保受害者在无法从 VSS 解密或检索到有价值的文件时被迫付费解密的方法:
Cybereason 防御平台中显示的 Black Basta 执行
勒索软件将两个文件放入 %TEMP%:一个是加密文件的图标(名为“fkdjsadasd.ico”),另一个是用作背景图像的 .jpg 文件(名为“dlaksjdoiwq.jpg”) :
当勒索软件启动其加密程序时,它首先会更改桌面的背景图像,同时遍历文件并对其进行加密。
扩展名“.basta”被添加到加密文件中,恶意软件会在每个文件夹中删除名为“readme.txt”的赎金记录。赎金记录是为受害者定制的,并包含一个唯一的 ID,供受害者在谈判聊天中使用:
黑色巴斯塔壁纸
加密文件和赎金记录
LINUX 版本
6 月初,Black Basta增加了对在企业 Linux 服务器上运行的VMware ESXi 虚拟机 (VM) 的加密支持。这种策略在不同的勒索软件团伙中广受欢迎,因为它符合他们的企业目标,并且还可以利用单个命令对多个服务器进行更快的加密。这些帮派包括:LockBit、Hive和Cheerscrypt。
执行后,Black Basta 会查找 /vmfs/volumes,如果路径不存在,勒索软件将抛出“错误”-“此系统中不存在路径”并退出:
Black Basta 创建的错误消息
Linux 版本除了以 ESXi 为中心之外,与 Windows 版本有许多相似之处。两种变体在加密期间显示相同的消息:“完成时间:%.4f 秒,加密:%.4f gb”:
变体之间的相似性 - “完成时间”按摩
这两种变体还共享在 Black Basta 中发现的相同唯一字符串:“ ERRRRRRRRROr”和“错误 755”:
变体之间的相似性 - “ERRRRRRRRRor”唯一字符串
两种变体赎金记录(readme.txt)是相同的:
人们对新的 Black Basta 知之甚少,因为他们还没有开始营销他们的业务或在黑客论坛上招募附属机构。然而,由于他们能够迅速积累新的受害者,不同的研究人员认为这不是他们的第一次。
Recommend
-
4
FBI警告:Conti勒索软件袭击了16个美国健康和紧急服务机构 - FreeBuf网络安全行业门户icon/FB金币编组企业标识Icon/小程序编组 24限时体验icon/红包金融左箭头付费文章VIP首页备份专属客服改名加速头像挂件形状结合引号编组Icon/资料设置Icon/我的专辑Icon/我的订...
-
3
勒索软件事件激发全民网络安全意识培训 – 安全意识博客Skip to content 媒体不断曝出有组织机构向黑客支付了大笔勒索软件赎金,这无疑将进一步刺激黑客强...
-
5
09:55 白宫勒索软件峰会呼吁改善网络安全行为 10月15日消息,美国白宫举行网络安全峰会,并代表32个国家发表了一份联合声明,其中强调了预防的重要性。包括要保持离线数据备份,使用强密码和多因素身份验证,确保应...
-
2
专家警告:汽车制造商更重视技术而非网络安全-51CTO.COM 专家警告:汽车制造商更重视技术而非网络安全 作者:我们会有自己的猫 2022-04-14 11:55:42 ...
-
1
FBI警告针对美国农业部门的勒索软件攻击-51CTO.COM FBI警告针对美国农业部门的勒索软件攻击 作者:大白haha 2022-04-21 16:16:29 安全
-
5
研究人员警告称,针对物联网设备的勒索软件即将出现-51CTO.COM 研究人员警告称,针对物联网设备的勒索软件即将出现 作者:物联之家网 2022-06-06 07:47:07 随着物联网设备变得越来越普...
-
4
卡巴斯基发出警告,勒索软件Luna来袭-51CTO.COM 卡巴斯基发出警告,勒索软件Luna来袭 作者:苏苏 2022-07-21 14:13:37 ...
-
4
CISA、FBI 发布联合公告,警告 Zeppelin 勒索软件攻击-51CTO.COM CISA、FBI 发布联合公告,警告 Zeppelin 勒索软件攻击 作者:大吃一鲸 2022-08-16 08:07:47 美国网络安全和基础设施安全局(CISA)...
-
2
网络安全公司 Dragos 遭受勒索软件攻击,拒绝支付赎金! 作者:小王斯基 2023-05-11 19:27:14 安全 Dragos 发言人表示虽然网络攻击...
-
1
研究人员发出警告,小心Akira勒索软件的Linux变体 作者:Zhuolin 2023-06-29 12:52:31 安全 Cyble研究和情报实验室的研究人员发现了...
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK